Inhaltsverzeichnis
2. Warum nutzen Mitarbeiter Schatten-IT?
Was ist Schatten-IT?
Als «Schatten- IT» (engl. «Shadow IT») wird Hard- und Software bezeichnet, die Mitarbeiter abseits der offiziellen IT-Infrastruktur eines Unternehmens für geschäftliche Zwecke einsetzen. Diese Lösungen dürfen eigentlich nicht im Unternehmen verwendet werden, da sie von der IT-Abteilung weder getestet noch freigegeben wurden. Ein weit verbreitetes Beispiel für Schatten-IT ist die Kommunikation mit Arbeitskollegen und Unternehmenskunden über private Messenger-Dienste wie WhatsApp. Schatten-IT kann bei einzelnen Mitarbeitern oder bei ganzen Abteilungen etabliert sein.
Typische Beispiele:
- Software:
- Nutzung privater Instant Messenger (z.B. WhatsApp oder Telegram) für die Kommunikation
- Verwendung nicht vom Unternehmen freigegebener Cloud-Diensten (z.B. Google Drive oder OneDrive) zur Bearbeitung und Speicherung von Dokumenten
- Nutzung inoffizieller Videochat-Plattformen (z.B. Zoom oder MS Teams) zur Durchführung von Videokonferenzen
- Einsatz privater Filesharing-Dienste (z.B. Dropbox oder iCloud Drive) zum Teilen von Dokumenten
- Verwendung privater E-Mail-Konten für die geschäftliche Kommunikation
- Hardware:
- private Smartphones
- private Laptops
Die Nutzung von Schatten-IT ist weit verbreitet
In einer Umfrage von Censuswide gaben 2019 53% aller IT-Leiter an, dass mehr als jeder zweite Mitarbeiter Anwendungen jenseits der Kontrolle der IT-Verwaltung nutzt. 63% aller befragten Arbeitnehmer einer Forecpoint-Umfrage sagten aus, Inhalte und Dokumente Ihres Unternehmens über private Hardware zu verwalten. Bei der Schatten-IT handelt es sich also nicht bloss um wenige Einzelfälle, sondern um ein grassierendes Problem.
Warum nutzen viele Mitarbeiter Schatten-IT?
Eine Ursache von Schatten-IT ist die steigende Anzahl an Cloud-Diensten, Software-as-a-Service-Angeboten und privaten Messenger-Diensten, auf die Angestellte schnell und einfach zugreifen können und deren Handhabung aus dem Privatgebrauch bekannt ist. Sobald Prozesse im beruflichen Alltag nicht reibungslos ablaufen und die Hilfe der IT-Abteilung nicht greifbar ist, suchen Mitarbeiter nach eigenen Wegen zur Lösung ihrer IT-Probleme.
Auch die Arbeit im Homeoffice begünstigt das Aufkommen von Schatten-IT. Privat nutzen Angestellte unter Umständen Software, die hinsichtlich Sicherheit und Datenschutz bedenklich ist. Die Corona-Pandemie hat für eine weitere Zunahme an unkontrollierter IT in Unternehmen gesorgt.
Schatten-IT bei Messengern
Instant Messaging ist eine gleichermassen beliebte wie verbreitete Kommunikationsform, sowohl beruflich als auch privat. Angestellte greifen daher auch im Berufsalltag gerne auf ihre bevorzugten Chat-Apps zurück, weil sie damit vertraut sind oder es an einer tauglichen Unternehmens-Alternative mangelt. Entscheidend sind die Benutzerfreundlichkeit und der Funktionsumfang von Messengern. Zu umständliche Lösungen werden nur widerwillig genutzt und führen nicht zur erhofften Effizienzsteigerung.
Die Risiken privater Messenger-Apps im Unternehmen
Aus der Nutzung privater Chat-Apps wie z.B. WhatsApp oder Telegram erwachsen erhebliche Risiken für Unternehmen.
Mangelhafter Schutz von Unternehmensdaten
Bei der Verwendung privater Messenger für berufliche Zwecke landen vertrauliche Informationen oft ungeschützt in den Händen privater IT-Dienstleister. Nicht einmal moderate Sicherheitsanforderungen werden so erfüllt, und interne Firmendaten können leicht nach aussen gelangen.
Ausserdem unterliegen viele Chat-Apps dem amerikanischen Datenschutzgesetz, welches nicht mit der DSGVO vereinbar ist, denn Dienste mit Sitz in den USA müssen den dortigen Geheimdiensten Zugang zu Kundendaten gewähren. Die Nutzung von Chat-Diensten aus den USA stellt daher ein Datenschutzrisiko dar.
Alles Wissenswerte zum Datentransfer zwischen der USA und der EU
Alle wichtigen Informationen zur Verarbeitung personenbezogener Daten von EU-Unternehmen in den USA erfahren Sie in unserem Blogbeitrag Ein Jahr nach dem Aus der Privacy-Shield-Abkommen: 5 Handlungsempfehlungen für die datenschutzkonforme und sichere Unternehmenskommunikation.
Fehlende Administrierbarkeit bei privaten Messengern
Nicht nur, was das Datenschutz-Niveau betrifft, sind private Instant Messenger für geschäftliche Zwecke ungeeignet. Auch hinsichtlich der Nutzer-Administration genügen sie den Anforderungen von Unternehmen in keiner Weise. Zum Beispiel lassen sich private Chat-Apps weder für die Mitarbeiter vorkonfigurieren, noch können Funktionseinschränkungen vorgenommen werden. Weiter besteht bei Mitarbeiter-Abgängen keine Möglichkeit, den Zugriff auf die App und die enthaltenen Unternehmensdaten zu entziehen. So zirkulieren geschäftliche Inhalte ungehindert in der privaten Sphäre ehemaliger Angestellter.
Weitergabe von Kundendaten durch Schatten-IT
Setzen Mitarbeiter WhatsApp als Messenger für die Kommunikation mit Kunden oder Arbeitskollegen ein, leiten Sie die Kontaktdaten ohne Zustimmung der Beteiligten an WhatsApps Mutterkonzern Facebook weiter, wo die Informationen zu Marketingzwecken verwendet werden können.
Schatten-IT vermeiden: Internen Messenger anbieten
Weil die Nutzung privater Messenger im Arbeitsumfeld weitreichende Datenschutzprobleme darstellt und erhebliche Sicherheitsrisiken mit sich bringt, sind Unternehmen gut beraten, einen firmeninternen Messenger für die Belegschaft bereitzustellen. Nur so lässt sich vermeiden, dass Angestellte auf unsichere Chat-Apps zurückgreifen, welche nicht die geltenden Datenschutzrichtlinien erfüllen. Die Kommunikation via Instant Messaging steigert durch den schnellen und unkomplizierten Informationsaustausch die Effizienz kommunikativer Arbeitsprozesse. Mit einem geeigneten firmeninterner Messenger ist zudem die erforderliche Datenhoheit und -sicherheit gewährleistet.
Daran erkennen Sie den idealen Firmen-Messenger
Chat-Apps, die für eine sichere und DSGVO-konforme Unternehmenskommunikation geeignet sind und das Risiko von Schatten-IT entscheidend verringern, sind anhand folgender Merkmale zu erkennen:
- Ende-zu-Ende-Verschlüsselung: Nachrichten können nur auf den Endgeräten der Chat-Teilnehmer gelesen werden. Auch der Dienstbetreiber hat keine Möglichkeit, sie zu entschlüsseln.
- Open Source: Der Quellcode ist öffentlich zugänglich, wodurch die Funktionsweise des Messengers nachvollzogen und durch unabhängige Experten geprüft werden kann.
- Privacy by Design: Datensparsamkeit und Privatsphäre-Schutz wurden bereits bei der Konzeption der App berücksichtigt, sodass ein Datenmissbrauch von vornherein weitestgehend ausgeschlossen ist.
- Datenschutz-Konformität: Die Verwendung der Chat-App ist uneingeschränkt mit fortschrittlichen Datenschutzgesetzen wie der DSGVO vereinbar.
- Self-Hosting: Um hochsensible Daten und Unternehmensinformationen bestmöglich zu schützen, ist der Betrieb des Messengers auf einem firmeninternen Server erforderlich (On Premises). Bei allerhöchsten Sicherheitsanforderungen bietet ein geschlossener Nutzerkreis bestmöglichen Schutz.
- Administrierbarkeit: Verfügbarkeit eines Administrationsportals für die Vorkonfiguration der App und zur Einschränkung von Funktionen.
- Benutzerfreundlichkeit und Funktionsumfang: Auch die sicherste Chat-App ist wertlos, wenn Funktionsumfang und Benutzerfreundlichkeit nicht den Mitarbeiter-Ansprüchen entsprechen.
Threema Work für Ihr Unternehmen
Mit Threema Work treten Sie der Ausbreitung einer gefährlichen Schatten-IT in Ihrem Unternehmen wirkungsvoll entgegen. Ihre Mitarbeiter finden sich dank der intuitiven Benutzeroberfläche auf Anhieb in der App zurecht und haben aufgrund des breiten Funktionsumfangs keinen Anlass mehr, auf private Chat-Dienste zurückzugreifen. Das Management-Cockpit ermöglicht IT-Administratoren eine bequeme Vorkonfiguration der App und erlaubt Ihnen, Funktionen nach Bedarf einzuschränken. Die Threema Work-Apps sind Open Source, und der Dienst genügt vollumfänglich den strengen Datenschutzbestimmungen der DSGVO. Keine anderer Messenger bietet ein vergleichbar hohes Mass an Sicherheit und Datenschutz.